Was bedeutet die DSGVO für Fotografen? (Deutschland)

November 2025

Was bedeutet die DSGVO für Fotografen in Deutschland? Eine gute Nachricht vorweg: Schul- und Kindergartenfotografie DSGVO-konform umzusetzen, ist weniger kompliziert, als viele denken. Wenn du einen Onlineshop nutzt und Partner wählst, die die Anforderungen der DSGVO erfüllen (z. B. mit Zertifizierung nach dem EU-US Data Privacy Framework oder einem gültigen Auftragsverarbeitungsvertrag), hängt die Umsetzung im Wesentlichen von deiner eigenen Arbeitsweise ab.

Die zentrale Anforderung der Datenschutz-Grundverordnung beim Fotografieren ist, dass personenbezogene Daten nur auf einer rechtmäßigen Grundlage verarbeitet werden dürfen. Im Schul- und Kitabereich bedeutet das fast immer, dass vorab die Einwilligung der Eltern oder Erziehungsberechtigten für Kinder unter 16 Jahren vorliegen muss (Art. 8 DSGVO).

Nach Art. 8 DSGVO i. V. m. § 26 Abs. 2 BDSG ist in Deutschland die Einwilligung Minderjähriger unter 16 Jahren nur mit Zustimmung der Sorgeberechtigten wirksam.

In anderen Kontexten können auch andere Rechtsgrundlagen wie das berechtigte Interesse greifen.

In diesem Leitfaden

Hol dir unser DSGVO-Downloadpaket

Wir haben alle Unterlagen für dich vorbereitet. Ausführlicher DSGVO-Guide, offene Word-Vorlagen für den ADV, Aushänge u.v.m.

Zum Download

1) Gruppenfotos & Datenschutz: Was muss ich beachten?


Gelten Fotos immer als personenbezogene Daten? Ja. Sobald Personen erkennbar sind, handelt es sich um personenbezogene Daten (Art. 4 Nr. 1 DSGVO). Das gilt selbstverständlich auch für ein Gruppenbild und den Datenschutz, der dabei zu beachten ist.

Fotos sind nicht automatisch „besondere Kategorien“ nach Art. 9, es sei denn, sie werden mit technischen Mitteln zur eindeutigen Identifizierung verarbeitet (z. B. Gesichtserkennung) – dann sind es biometrische Daten (Erwägungsgrund 51).

Praxis: Klassische Porträts oder Eventfotos ohne Face-Recognition fallen i. d. R. nicht unter Art. 9, mit Auto-Tagging oder FR-Tools aber schon.

2) Welche Rechtsgrundlagen kommen für die DSGVO und Bilder in Frage?

Regelmäßig: Einwilligung (Art. 6 Abs. 1 a) oder berechtigtes Interesse (Art. 6 Abs. 1 f).

Bei öffentlichen Stellen ggf. Aufgabe im öffentlichen Interesse (Art. 6 Abs. 1 e).

Einwilligung muss freiwillig, informiert, nachweisbar und widerruflich sein (vgl. EDPB-Leitlinien).

Das berechtigte Interesse verlangt eine dokumentierte Interessenabwägung und einfache Widerspruchsmöglichkeiten.

Praxis: Für Einzelporträts ist eine Einwilligung meist sauberer; bei Event-Dokus kann Art. 6 (1) f greifen, wenn Transparenz, Hinweisschilder und Widerspruchsrechte gewahrt bleiben.

Achte darauf, dass du den Nachweis über Einwilligungen und Abwägungen dokumentierst (Art. 5 Abs. 2 DSGVO – Accountability).

3) Gilt das KunstUrhG (KUG) noch?


Ja, aber nur ergänzend: Für journalistische/kunstbezogene Zwecke gilt Art. 85 DSGVO – dort bleibt das KUG relevant.

Für gewerbliche oder unternehmerische Fotografie ist dagegen primär die DSGVO maßgeblich; die Aufsichtsbehörden betonen Art. 6 DSGVO als Rechtsgrundlage. Siehe z. B. Orientierung der Berliner Aufsicht. datenschutz-berlin.de

Das KUG tritt also nur ergänzend hinzu, wenn Art. 85 DSGVO (journalistische Zwecke) einschlägig ist; in der gewerblichen Fotografie gilt vorrangig Art. 6 DSGVO.

4) Was ist neu bei Cookies und Tracking (TDDDG seit 2024)


Das Telekommunikations-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) verlangt für nicht notwendige Cookies/Tracker eine vorherige Einwilligung.

Dark-Patterns und Cookie-Walls sind unzulässig. (EDPB-Leitlinien zu Einwilligung; DSK-Orientierungshilfe für Telemedienanbieter). datenschutzkonferenz-online.de Osborne Clarke European Data Protection Board

Praxis: Verwende Consent-Banner mit echter „Ablehnen“-Option, granularer Auswahl und kein „Scroll = Zustimmung“.

Wenn du ein Consent-Tool einsetzt, schließe mit dem Anbieter einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.

Jetzt DSGVO-Vorlagen herunterladen – Gratis für Fotografen


5) Kinderfotos, Kita & Schule


Deutschland nutzt die Altersgrenze von 16 Jahren für die Einwilligung bei Diensten der Informationsgesellschaft. Bei Schulen/Kitas verlangen deutsche Aufsichten regelmäßig ausdrückliche Einwilligungen der Sorgeberechtigten und sehr gute Transparenz/ Widerspruchsmöglichkeiten. datenschutz-bayern.de daks-berlin.de datenschutz-berlin.de

Praxis: Getrennte Einwilligungen für Aufnahme, Veröffentlichung (Website/Social Media), Druckerzeugnisse; klarer Widerrufskanal.

Achte darauf, dass Widerrufe einfach und dokumentiert erfolgen können.

6) Verantwortliche oder Auftragsverarbeiter:in?  (z. B. für Schulen/ Firmen)

Das richtet sich nach „Zweck und Mittel“ der Verarbeitung.

Fotograf:innen sind meist eigene Verantwortliche, teils gemeinsam Verantwortliche (Art. 26 DSGVO) mit Auftraggeber:innen.

Nur bei reiner Weisungsgebundenheit liegt Auftragsverarbeitung vor (Art. 28 DSGVO).

Praxis: Rollenklärung vorab; Joint-Controller-Abkommen oder AV-Vertrag abschließen.
Die Vereinbarung muss klar festlegen, wer Informationspflichten erfüllt und Betroffenenrechte umsetzt.

7) Verzeichnis von Verarbeitungstätigkeiten (VVT)

Ja, in der Regel ja (Art. 30 DSGVO) – auch Solo-Selbstständige, sofern die Verarbeitung nicht nur gelegentlich erfolgt; bei Berufsfotografie ist sie regelmäßig. Im VVT: Zwecke (z. B. Shooting, Bildverkauf), Rechtsgrundlagen, Löschfristen, Empfänger:in, Drittlandtransfers, technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO.

(Allg. DSGVO-Pflichten; Überblicke der deutschen Aufsichten). EUR-Lex  datenschutzkonferenz-online.de

Diese Dokumentation dient zugleich der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.

8) Informationspflichten


Nach Art. 13/14 DSGVO sind anzugeben:

Identität/Kontakt, Zwecke/Rechtsgrundlage, berechtigte Interessen, Empfänger:innen, Drittlandtransfers, Speicherdauer, Rechte, Widerruf/Widerspruch, Aufsichtsbehörde.

Praxis: Bei Events gut sichtbare Hinweisschilder + QR-Code zu Details; Opt-out-Zonen.

Dokumentiere, dass du die Informationspflichten erfüllt hast (Accountability-Prinzip nach Art. 5 Abs. 2 DSGVO). datenschutz-berlin.de  Berlin.de

9) Internationale Datentransfers (US-Tools, Cloud-Galerien, Online-Shop)


Seit 10. Juli 2023 gibt es das EU-US Data Privacy Framework (DPF). Übermittlungen an DPF-selbstzertifizierte US-Empfänger:innen sind aktuell von der Angemessenheitsentscheidung gedeckt. Für nicht zertifizierte US-Dienstleister braucht ihr weiterhin SCCs + Transfer Impact Assessment etc. (EDPB-Info/Review; EU-Kommission). EUR-Lex  European Commission  European Data Protection Board

Das Ergebnis dieser Risikoanalyse muss dokumentiert und bei Audits nachweisbar sein.

10) Speicherdauer und Löschung


Nur solange erforderlich (Art. 5 Abs. 1 e). Definiert Löschkonzepte nach Nutzungszweck (z. B. Rohdaten 6-12 Monate, Auswahlbilder bis Projektende + Gewährleistungsfristen, Portfoliofotos bis Widerruf). Dokumentiert Ausnahmen (z. B. steuer- oder urheberrechtliche Gründe). (Allg. DSGVO-Grundsätze; deutsche Aufsichten). EUR-Lex  datenschutzkonferenz-online.de

Beachte gesetzliche Aufbewahrungspflichten nach § 147 AO und § 257 HGB, die längere Speicherfristen rechtfertigen können.

11) Datenschutz-Folgenabschätzung (DPIA)

Nur bei voraussichtlich hohem Risiko (Art. 35). Indikatoren: systematische großflächige Überwachung, biometrische Identifizierung, besonders schutzwürdige Gruppen (z. B. Kinder). EDPB-Leitlinien zu Video-Geräten nennen Beispiele; viele „normale“ Shootings brauchen keine DPIA – Gesichtserkennung oder umfassende Video-Analytics schon. European Data Protection Board

Praxis: Prüfe zusätzlich die Positivliste deiner zuständigen Landesaufsicht, ob eine DPIA-Pflicht besteht.

12) Video, Dashcams, Dauerüberwachung

EDPB-Leitlinien 3/2019 (aktualisiert 2020) regeln die Videoverarbeitung: klare Zwecke, Speicherbegrenzung, Datenminimierung, Kennzeichnung, keine Überwachung ohne Rechtsgrundlage. Private Dashcams und permanente Überwachung sind stark eingeschränkt. Für Gewerbe gilt: nur erforderliche Bereiche, Hinweisschilder, kurze Löschfristen. dpoblog.eu

Praxis: Nur erforderliche Bereiche filmen, kurze Speicherfristen, Hinweisschilder anbringen.
Auch hier gilt: Verarbeitungstätigkeiten sind im VVT zu dokumentieren.

13) Social Media & Portfolio


Nur mit passender Rechtsgrundlage. Einwilligungen sollten konkret die Kanäle/Zwecke (Website, Instagram, Advertising) nennen. Widerrufe sind umzusetzen (auch bei Re-Posts). Achtet zusätzlich auf Plattform-Transfers (Drittland!). European Data Protection Board EUR-Lex

14) Cookie-Banner auf Portfolioseiten

Nur notwendig, wenn nicht zwingende Technologien genutzt werden (Analytics, Marketing, Fonts, Maps, Videos).

Dann: Einwilligung vor Setzen der Cookies.

Keine stillschweigende Zustimmung.

Consent-Banner mit klarer Struktur und Nachweisbarkeit einsetzen.

Nur wenn nicht notwendige Technologien eingesetzt werden (Analytics, Marketing, eingebettete Fonts/Maps/Videos, CDN-Beacons). Dann: Einwilligung vor Setzung; keine „weiter-Surfen = OK“. (EDPB-Einwilligung; DSK-Telemedien-OH; TDDDG). European Data Protection Board Osborne Clarke datenschutzkonferenz-online.de

Keine stillschweigende Zustimmung.

Consent-Banner mit klarer Struktur und Nachweisbarkeit einsetzen.

15) Zuständige Aufsichtsbehörde

Die Landes-Datenschutzaufsicht des jeweiligen Firmensitzes (Art. 51 ff. DSGVO).

Beispiel: In Berlin z. B. die Berliner Beauftragte für Datenschutz und Informationsfreiheit – gleiches Prinzip in anderen Ländern. GDPR Berlin.de

16) Was hat sich seit 2023/2024 spürbar geändert?

  • EU-US-Datentransfers: DPF-Angemessenheit wieder verfügbar (10.07.2023) + erste EDPB-Review 2024. EUR-Lex European Data Protection Board
  • Cookies/Tracking: DSK-Leitlinien fortgeschrieben; TTDSG → TDDDG (Namens-/Systematik-update 2024) – Einwilligung bleibt Pflicht.
  • Rollenklärung: EDPB-Leitlinien 07/2020 (final 2021, Korr. 2022) sorgen für konsequentere Joint-Controller/AV-Abgrenzung – relevant bei Auftragsshootings. European Data Protection Board
  • Neu: Aufsichtsbehörden prüfen zunehmend auch den Nachweis von Interessenabwägungen und DPIA-Pflichten in der Kreativbranche (Stand 2025).

Weitere wichtige Datenschutz-Tipps für Fotografen

  1. Rechtsgrundlage festlegen (Einwilligung oder Art. 6 (1) f mit Abwägung). European Data Protection Board

  2. Transparenz sicherstellen (Hinweise/Schilder, QR, Datenschutzerklärung). datenschutz-berlin.de

  3. Rollen klären & Verträge (AVV oder Joint-Controller-Abkommen). European Data Protection Board

  4. Speicherkonzept/Löschfristen definieren und dokumentieren. EUR-Lex

  5. Tools/Provider prüfen (DPF-Zertifizierung oder SCC + TIA). EUR-Lex

  6. Cookie/Tracking-Setup prüfen (TDDDG/Einwilligung). datenschutzkonferenz-online.de European Data Protection Board

  7. Kinder/Kita/Schule: schriftliche Sorgeberechtigten-Einwilligungen, einfache Widerrufe. daks-berlin.de

DSGVO-Vorlagen kostenlos herunterladen

Inhalt:

  • Ausführlicher Schritt-für-Schritt-Guide rundum die DSGVO und ihre Anwendung für Kindergarten- und Schulfotografen
  • Verschiedene Vorlagen zum Einholen der Einwilligung zum Fototag (u.a. ADV-Mustervertrag, Aushang)
  • Vorlage zum Einholen der Einwilligung zur Weiterverwendung der Fotos zu Werbezwecken (Word)
 

Quellen (Auswahl, autoritativ)

Stand: 20. Oktober 2025

KÜHLEIS GROUP
Stefan Kühleis
Betrieblicher Datenschutzbeauftragter (TÜV cert.)
Datenschutzauditor (TÜV cert.)
Informationssicherheitsbeauftragter (IHK)
acc to ISO/IEC 27001 & BSI IT-Grundschutz
Member of GDD/BvD e.V.

(Diese FAQ dient der allgemeinen Information und ersetzt keine individuelle Rechtsberatung.)